Comment Spotify a été piqué et pourquoi vous devriez vous en soucier
La dernière fuite Spotify pourrait être la plus étrange à ce jour. Des centaines de comptes ont été éclaboussés sur Pastebin. Ces comptes ont déjà été consultés et beaucoup ont vu leurs courriels modifiés. Mais non seulement nous ne savons pas qui est derrière la fuite, mais Spotify est catégorique: il n’a pas été piraté. Donc quoi vraiment passe?
Pour le savoir, j'ai organisé une conversation avec Kevin Shahbazi, expert en sécurité et PDG de la société de gestion de mots de passe LogMeOnce. Kevin s'est construit un nom dans l'industrie de la sécurité. Il a lancé plusieurs sociétés d’information, dont l’une, Trust Digital, spécialisée dans la sécurité des smartphones pour les entreprises, a été acquise par McAfee en 2010..
L'expertise de Kevin dans le domaine de la sécurité est indéniable et je voulais savoir ce qu'il avait fait de cette dernière violation de données. Après une série de courriels envoyés un mardi soir, je lui ai expliqué qui pouvait être à l'origine de la fuite, ce qui n'allait pas dans la réponse de Spotify et ce que les utilisateurs affectés pouvaient faire pour se protéger.
L'anatomie de la fuite
Quand la débâcle d'Ashley Madison a éclaté comme un cantaloup trop mûr, Ashley Madison Leak No Big Deal? Pensez à nouveau Ashley Madison Leak No Big Deal? Think Again Le site de rencontres en ligne discret Ashley Madison (principalement destiné aux conjoints trompeurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, qui a des conséquences considérables pour la sécurité des utilisateurs. En savoir plus, il dévoilait les secrets sordides de millions de personnes sur le Web sombre. Le dump de données, mesuré en gigaoctets, répertorie tout, des informations biographiques des déclarants du site à leurs préférences sexuelles de niche. Comment se compare la fuite Spotify??
“En ce qui concerne le volume de données divulguées, il n’a été fait mention que de «centaines» de comptes non spécifiés ont été compromis. Les informations de compte telles que les détails de paiement et les informations de carte de crédit ne sont pas incluses dans la fuite, mais les e-mails, noms d'utilisateur, mots de passe, type de compte et informations de compte supplémentaires ont été omis..” - Kevin Shahbazi
Il n'y a toujours aucune information sur l'auteur de l'attaque, bien qu'elle ait été publiée par un utilisateur du nom de "Drakia12sur Pastebin. Kevin est ouvert à la possibilité que le vidage lui-même ne soit pas si nouveau et provienne plutôt de comptes qui ont déjà été divulgués sur Dark Web. Un voyage dans le Web caché: guide des nouveaux chercheurs. Un voyage dans le Web caché: Un guide Pour les nouveaux chercheurs Ce manuel vous guidera à travers les nombreux niveaux du Web profond: bases de données et informations disponibles dans des revues spécialisées. Enfin, nous arriverons aux portes de Tor. Lire la suite, et entrent maintenant dans une circulation plus large. Les connexions pour Spotify et d'autres sites de streaming tels que Netflix sont disponibles à l'achat sur les parties les plus obscures d'Internet. Selon un rapport de McAfee Labs, ces cybercriminels circulent continuellement une fois qu'ils ont été compromis.”.
Kevin a également laissé entendre qu'un “Force brute” attaque pourrait être derrière la fuite, en disant, “Une autre source possible [de la fuite] est un programme utilisé pour "combiner" les mots de passe, ou simplement essayer plusieurs combinaisons de mots de passe différentes jusqu'à ce qu'il trouve le bon”.
Cela semble peu probable, car la plupart des services limitent désormais le nombre de tentatives de connexion infructueuses qu'un utilisateur peut effectuer. Cependant, ce n'est pas impossible. En 2009, les comptes Twitter de Rick Sanchez, Bill O'Reilly et Britney Spears ont été compromis par des pirates informatiques et des messages offensants ont été postés..
Cette attaque n’était possible que parce que, à l’époque, Twitter ne limitait pas les tentatives de connexion et qu’un administrateur avait un mot de passe de dictionnaire faible (c’était “bonheur”).
Je voulais savoir comment cette fuite se comparait à d'autres grandes fuites, telles que les fuites Ashley Madison, PlayStation Network et Mate1. Kevin a déclaré que, contrairement à d’autres fuites notables, Spotify n’est pas “posséder” il. Ils ne prennent pas de responsabilité. Et ils n'ont pas non plus “être proactif dans la protection des informations de leurs clients”. Shahbazi craint également que la fuite ne soit l’ouverture de quelque chose de beaucoup plus grand.
“En publiant un petit échantillon de données, des pirates présumés auraient peut-être simplement voulu placer Spotify en position défensive. Ensuite, après avoir traité le compte, ils publieront probablement le reste du vidage de données. Si tel est leur objectif, la situation sera plus embarrassante et les cadres pourraient perdre leur poste chez Spotify..” - Kevin Shahbazi
Pourquoi Spotify?
Ce qui est peut-être le plus troublant à propos du piratage Spotify, c’est que c’est une cible aussi improbable. Pour un cybercriminel, l'attrait d'un compte PayPal ou d'un compte bancaire en ligne compromis Est-ce que Online Banking Safe? La plupart du temps, mais voici 5 risques que vous devez savoir sur La banque en ligne est-elle sûre? La plupart du temps, mais voici 5 risques que vous devez connaître Il y a beaucoup à aimer sur les services bancaires en ligne. C'est pratique, cela peut vous simplifier la vie, vous pourriez même obtenir de meilleurs taux d'épargne. Mais la banque en ligne est-elle aussi sûre et sécurisée qu'elle devrait l'être? Lire la suite est indéniable. Mais Spotify n'est pas une institution financière. C'est un site de musique. J'ai demandé à Kevin pourquoi un pirate informatique pourrait le cibler.
“Le fait d’attaquer Spotify, ou d’autres services similaires, varie d’un pirate à l’autre. Dans ce cas, la transparence semble être le motif le plus probable de la récente fuite: montrer au public que leurs informations ne sont pas nécessairement sécurisées avec la plate-forme et, finalement, gêner la marque..” - Kevin Shahbazi
De nombreuses personnes choisissent de lier leurs comptes Facebook à Spotify. Cela simplifie la connexion et ajoute également une dimension sociale au service. Les utilisateurs peuvent partager leurs morceaux préférés avec leurs amis et obtenir des recommandations..
Cela pourrait-il causer davantage de souffrance aux utilisateurs touchés? Potentiellement, dit Kevin. Surtout si l'utilisateur utilise un mot de passe en double.
“Les mots de passe en double (ou la réutilisation d'un mot de passe unique sur différents services) peuvent être un problème potentiel. Étant donné que tout le monde peut désormais accéder à des centaines de connexions Spotify, cela leur donne la clé de tous les comptes et services utilisant le mot de passe divulgué..” - Kevin Shahbazi
La réponse de Spotify
Compte tenu de la notoriété de Spotify, il était inévitable que la société connaisse éventuellement un problème de sécurité. Mais dans ce cas, il a été étonnamment nonchalant pour tout.
“Bien que [dans le passé] ils aient été proactifs en réinitialisant les mots de passe des utilisateurs pour les comptes qui semblent être piratés, et ont dit qu'ils analysaient souvent des sites comme Pastebin pour Spotify, ils ne l'avaient pas fait avec le dernier piratage présumé, malgré des centaines des informations d'identification Spotify apparaissant en ligne.” - Kevin Shahbazi
Les clients concernés ont dû s’adresser activement à Spotify pour retrouver l’accès à leurs comptes. Selon les publications sur Twitter et divers articles de la presse spécialisée, cela n’a pas été une tâche facile. Malheureusement, ce n'est pas un événement isolé pour Spotify.
“Spotify a nié l'existence de prétendus piratages similaires qui auraient eu lieu en novembre 2015 et à nouveau en février dernier. Dans l’ensemble, les déclarations publiques de Spotify contredisent les expériences de leurs clients.” - Kevin Shahbazi
Kevin ne sait pas vraiment pourquoi Spotify a été si opaque à propos de l'existence (ou non) d'un piratage informatique, ou s'il a été victime d'une erreur de l'utilisateur. Cependant, il craint que “leur manque de transparence ne fait que nuire à leur marque, à leur réputation et surtout à leurs clients”.
Que peuvent faire les utilisateurs concernés??
Des centaines d'utilisateurs ont été touchés par les fuites. Il est fort possible que plus de comptes aient été compromis, mais que tout ne soit pas encore divulgué. J'ai demandé à Kevin quelles mesures les utilisateurs Spotify devraient prendre pour se protéger.
“Que ce soit piraté ou non, tous les utilisateurs de Spotify doivent être au courant de leurs comptes. Pour ceux dont les informations ont été compromises, ils doivent immédiatement modifier leurs informations de connexion pour tous les comptes utilisant le même mot de passe, ainsi que pour surveiller tous les comptes financiers pouvant être liés à Spotify. Ils doivent également contacter Spotify pour les informer du problème lié à leur compte, ainsi que pour le réinitialiser..” - Kevin Shahbazi
Kevin a ajouté que ceux qui ont eu la chance de ne pas être inclus dans le vidage de données devraient également prendre des précautions. Il recommande à tous les utilisateurs de réinitialiser leurs mots de passe et, sur tous les appareils sur lesquels Spotify est installé, de se déconnecter puis de se reconnecter. Il a également souligné les dangers liés à l'utilisation de mots de passe en double..
“C’est un autre cas dans lequel des mots de passe en double reviennent à ceux qui recherchent la facilité d’accès à plusieurs comptes. Même s'il peut sembler que les informations de connexion de Spotify aient été piratées et que tous les autres comptes soient sécurisés, si un mot de passe dupliqué était utilisé, il pourrait être utilisé pour vous connecter à d'autres comptes utilisant ces informations, créant ainsi un effet domino..” - Kevin Shahbazi
Mieux vaut prévenir que guérir
Il est impossible pour les consommateurs d'empêcher que leurs données ne soient divulguées par un service qu'ils utilisent, car ce n'est pas entre leurs mains. Le service doit avoir de bonnes pratiques de sécurité et une bonne hygiène de mot de passe. Mais que peuvent faire les consommateurs pour limiter leur exposition aux fuites futures? Kevin a de nouveau insisté sur le fait que les utilisateurs devraient éviter les mots de passe en double et, dans la mesure du possible, utiliser une authentification à deux facteurs..
“Les lecteurs peuvent également garantir la sécurité de leurs mots de passe en utilisant une authentification à deux facteurs (2FA), ce qui constitue une authentification à deux facteurs et pourquoi vous devez l’utiliser. Ce qui est une authentification à deux facteurs et pourquoi vous devez l’utiliser à deux facteurs. L’authentification (2FA) est une méthode de sécurité qui requiert deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement… En savoir plus. En plus du mot de passe, les utilisateurs sont tenus de fournir une autre information, telle qu'une empreinte digitale, un code PIN ou une question de sécurité, qu'ils seraient seuls à consulter. capable de fournir.” - Kevin Shahbazi
Sans surprise, Kevin recommande l'utilisation d'un gestionnaire de mots de passe, afin de stocker en toute sécurité des mots de passe complexes. Il a dit “un gestionnaire de mots de passe Comment les gestionnaires de mots de passe protègent vos mots de passe en toute sécurité Comment les gestionnaires de mots de passe conservent vos mots de passe en toute sécurité Les mots de passe difficiles à détecter sont également difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite est un moyen simple d'empêcher les pirates informatiques de faire des ravages dans votre vie. Ces mots de passe cryptés dans un «coffre-fort» sécurisé, auquel l'utilisateur peut accéder via un mot de passe principal.” Il a ajouté que cela facilite l'utilisation de mots de passe complexes et sécurisés.
“Il existe de nombreux gestionnaires de mots de passe fiables et gratuits. Assurez-vous que vous en utilisez un de bonne réputation. Beaucoup d’entre eux font plus que simplement stocker votre mot de passe, alors recherchez ceux qui utilisent “injection” pour insérer des mots de passe dans les champs appropriés, plutôt que de simplement copier et coller à partir du presse-papiers. Cela vous aide à éviter d'être attaqué via des enregistreurs de frappe.” - Kevin Shahbazi
Emballer
Kevin, peut-être à juste titre, est perturbé par la réaction modérée de Spotify à des centaines de comptes d'utilisateurs vaporisés sur Pastebin. Reste à savoir si cette fuite est ponctuelle ou si elle laisse entrevoir quelque chose de plus important..
Nous avons essayé de contacter Spotify pour commenter cette histoire, mais sans succès. Si la société nous répond, nous mettrons à jour cet article avec sa réponse..
Crédits d'image: Vdovichenko Denis / Shutterstock.com
Explorer plus sur: Atteinte à la sécurité, Spotify.